GandCrab: The New Dash Ransomware que está à solta

O ano passado parecia ser o ano do Ransomware. Vimos a proliferação de Wannacry, Bad Rabbit e Petya, para citar alguns. Esses ataques paralisaram computadores em toda a linha, de empresas a hospitais.

Agora, parece que o flagelo do ransomware ainda está vivo e forte em 2018.

Um novo tipo de Ransomware chamado “GandCrab” está circulando e causando danos. Esta cepa, que é de origem russa, também é interessante no sentido de que é um dos poucos tipos de “ransomware como serviço”.

Outra coisa interessante sobre o GandCrab é que ele usa a criptomoeda DASH em vez do Bitcoin. Provavelmente, isso se deve à dificuldade de rastrear esses pagamentos.

Vamos dar uma olhada mais profunda na ameaça mais recente e o que você pode fazer para evitá-la.

O que é GandCrab?

GandCrab é um ransomware que se espalha por meio de dois kits de exploração, a saber, RIG EK e GrandSoft EK. Foi descoberto pela primeira vez no início deste ano, no dia 26 de janeiro. Abaixo está o tweet do pesquisador em questão.

Desde então, o Ransomware ganhou muito mais atenção nos círculos de segurança cibernética e teve mais pesquisas feitas sobre ele. Uma dessas empresas era LMNTRIX que tem sede na Austrália. Eles também investigaram os fóruns darkweb para determinar como o ransomware é distribuído.

Isso funciona como um dos poucos ataques de “ransomware como serviço”. Basicamente, os invasores operarão em uma estrutura de afiliados, onde os desenvolvedores receberão uma porcentagem do corte dos afiliados. Os desenvolvedores do ransomware oferecem correções ilimitadas e suporte técnico para o código.

Eles também oferecem aos parceiros maiores especiais a oportunidade de obter um corte melhor do típico 60:40 para o mais lucrativo 70:30. Tal é a natureza desta oferta criminosa que eles até lançaram um você tubo vídeo que conduz os parceiros através da configuração do ransomware.

Existem poucas restrições sobre onde os usuários podem operar, no entanto, eles não podem ter como alvo cidadãos de países da antiga União Soviética. Provavelmente, isso se deve ao fato de os operadores e servidores estarem localizados nesses países.

Como funciona?

O ransomware GandCrab usa os conhecidos kits de exploração Rig e Grandsoft. No passado, eles entregavam malware por meio de sites comprometidos. Eles foram usados ​​apenas uma vez antes para uma carga útil de malware.

Também foi recentemente relatado por MalwareBytes Labs que a carga útil do GandCrab também está sendo distribuída por meio de spam de e-mail EITest e Necurs. Este último solicitará que o usuário baixe uma fatura em pdf para sua atenção.

GandCrab Malicious Email pdf

Email com pdf malicioso. Fonte: bleepingcomputer.com

No momento em que o usuário baixa o pdf, ele deverá preencher um captcha no arquivo pdf. Feito isso, ele criará um arquivo de palavras maliciosas que exigirá que o usuário ative macros. Se o usuário fizer isso, ele irá disparar uma macro que irá executar um script do PowerShell.

Isso iniciará o ransomware GandCrab e iniciará a conexão com os servidores de comando e controle (que usam domínios .bit). Ele criptografará os arquivos dos usuários e eles receberão um url .onion para acessar a página de resgate. Abaixo está a página em questão que pede 1.5 DASH.

GandCrab Ransomware Note

Tela de notas de resgate. Fonte: malwarebytes.com

Como se veria em campanhas de ransomware semelhantes, o preço da descriptografia aumentará após um certo período de tempo. Isso é feito para induzir urgência por parte das vítimas. A preços de mercado atuais, a descriptografia custaria $ 1.050. Isso é consideravelmente mais do que os preços em ataques anteriores que exigiram no Bitcoin.

O DASH implementou uma série de protocolos de melhoria de privacidade que tentam ocultar as transações em questão. Por exemplo, eles usam algo chamado mistura Darksend, que irá misturar todas as suas moedas com outras no blockchain. Isso pode ajudar quando se trata de autoridades de rastreamento de transações.

Lições a serem aprendidas

Provavelmente nem é preciso dizer que você não deve baixar documentos PDF de pessoas com as quais não está familiarizado. Este deve ser o sinal revelador de uma exploração maliciosa que alguém está tentando acessar no seu PC.

Com relação aos outros vetores de exploração que o GandCrab usa, você deve evitar sites para os quais foi redirecionado sem saber. Tente evitar clicar em links para anúncios suspeitos.

Por último, e mais importante, a instalação de programas antivírus eficazes ajudaria a identificar os exploits. Freqüentemente, o usuário é o elo mais fraco em um ataque de ransomware.

Imagem em destaque via Fotolia & Traço

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me